CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27012

Critical
Published: Translated: NVD NIST

Summary

W OpenSTAManager w wersji 2.9.8 i wcześniejszych występuje podatność na eskalację uprawnień oraz obejście uwierzytelniania, która pozwala atakującemu na dowolną zmianę grupy użytkownika (idgruppo) poprzez bezpośrednie wywołanie modules/utenti/actions.php. Może to prowadzić do awansu konta (np. agenta) do grupy Amministratori oraz degradacji dowolnego użytkownika, w tym istniejących administratorów.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym nieautoryzowane modyfikacje uprawnień użytkowników, co może prowadzić do utraty kontroli nad systemem oraz danych.

Recommendation

Zaleca się aktualizację OpenSTAManager do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie dostępu do krytycznych modułów.

Original NVD description (English source)

OpenSTAManager is an open source management software for technical assistance and invoicing. In 2.9.8 and earlier, a privilege escalation and authentication bypass vulnerability in OpenSTAManager allows any attacker to arbitrarily change a user's group (idgruppo) by directly calling modules/utenti/actions.php. This can promote an existing account (e.g. agent) into the Amministratori group as well as demote any user including existing administrators.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS